この記事を使用して、Exchange Onlineで見つからないメール メッセージを調査し、削除したユーザーを特定します。 管理者は、Microsoft Purview 監査ログを使用し、PowerShell をExchange Onlineして、削除イベントの検索、メールボックスの構成の分析、保持と移行アクティビティのチェック、メールボックス ルールまたは共有メールボックス アクセスによって損失が発生したかどうかを判断する手順を説明します。
次のメソッドを使用して調査します。
- ユーザーまたは管理者によって削除されたメール
- 移行または同期の問題の後にメールが見つからない
- メールボックス ルールまたはアイテム保持ポリシーによって削除されたメール
- 共有メールボックスから削除されたメール
- メールが予想されるフォルダーに表示されない
開始する前に
削除されたメールと不足しているメッセージを調査するには、次のものが必要です。
- Microsoft Purview で割り当てられた 監査ログ ロール
- Connect-ExchangeOnline を使用して PowerShell Exchange Onlineに接続するには
削除されたメールを識別する方法
次の方法を使用して、不足しているメールを調査し、削除アクティビティを特定します。 調査中の削除の種類に基づいて方法を選択します。
操作の種類で削除されたメールを検索する
次の操作を検索するには、このメソッドを使用します。
- SoftDelete: アイテムが [削除済みアイテム] フォルダーに移動されました。
- HardDelete: メールボックスから完全に削除されたアイテム。
- MoveToDeletedItems: ユーザー アクションによってアイテムが削除済みアイテム フォルダーに移動されました。
特定の削除操作を使用して電子メールの削除の監査レコードを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
<user1,user2>をユーザーのメール アドレスに置き換えます。 複数のユーザーを指定するには、ユーザー名をコンマで区切ります。
共有メールボックスの削除を検索する
共有メールボックスからの削除を調査するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
注:
共有メールボックスの監査は、既定では有効になっていない可能性があります。 この検索で結果が返されない場合は、「監査を有効にするように構成されていない共有メールボックス監査」を参照してください。
キーワードを使用して不足しているメールを検索する
この方法は、特定の件名またはコンテンツを含むメールの削除レコードを識別するのに役立ちます。
特定の不足している電子メールに関連する監査レコードを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
包括的なメール アクティビティを検索する
この広範な検索には、不足しているメールを説明する可能性のある移動と更新が含まれます。
電子メールの可視性に影響を与えるすべてのアクティビティを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
検索結果について
監査検索から結果を得られないと、不足しているメールの原因に関する重要な分析情報を得ることができます。
- 削除操作が見つかりません: 期間内にユーザーが開始した削除を除外します。
- アイテム保持ポリシーアクションなし: 自動ポリシーによって電子メールが削除されなかったことを示します。
- 移行アクティビティなし: 移行プロセスが電子メールを削除しなかったことを示します。
- 管理者の操作なし: 管理者が一括操作を実行しなかったことを確認します。
注:
検索するドキュメントは結果を返しません。 この情報は、潜在的な原因を排除することで根本原因を絞り込むのに役立ちます。
検索結果が見つからない
監査ログ検索で、不足しているメールの削除レコードが見つからない場合は、次の手順を試してください。
削除監査レコードのないメールが見つからない
次の手順を使用して、メールが見つからないが削除監査レコードが見つからない場合を調査します。
削除が発生したときに監査が有効になっているかどうかを確認します。
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreated将来の監視のための包括的な監査を有効にします。
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}メールを削除する可能性があるアイテム保持ポリシーアクションを検索します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000このコマンドが結果を返さない場合は、アイテム保持ポリシーが指定した期間内に電子メールを自動的に削除しなかったことを示します。 この情報は、メールが見つからない原因として、ポリシーベースの自動削除を除外するのに役立ちます。
共有メールボックス監査が構成されていない
削除レコードが見つからない場合に共有メールボックスの監査を有効にするには、次の手順を使用します。
共有メールボックスの現在の監査構成を確認します。
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdmin共有メールボックスの包括的な監査を有効にします。
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}共有メールボックス アクセス権を持つユーザーによるアクティビティを検索します。
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
移行関連の電子メール損失の調査
次の手順では、移行プロセス中に失われたメールを調査する方法を示します。
移行期間中に移行関連のアクティビティを検索します。
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
高度な調査手順
次の手順では、標準検索でメールが見つからない原因が明らかになっていない場合に、詳細な分析を実行する方法を示します。
メールを削除する可能性があるメールボックス ルールを分析する
メールボックス ルールによってメールが削除されたり、予期しないフォルダーに移動されたりしていると思われる場合は、次の専用メールボックス ルールの調査手順を使用します。
ヒント
メールボックス ルールの包括的な調査については、「 メールボックス ルールを変更したユーザーを特定 する」を参照してください。電子メール配信に影響を与える可能性があるメールボックス ルールを作成、変更、または削除したユーザーを特定する方法の詳細なガイダンスを参照してください。
保持ポリシーとコンプライアンス ポリシーを調査する
コンプライアンス ポリシーによって電子メールの削除が発生しているかどうかをチェックするには、次のコマンドを実行します。
メールボックスに適用されているアイテム保持ポリシーを確認します。
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsForコンプライアンス関連の削除を検索します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
管理者のアクションを確認する
管理者が電子メールに影響を与えるアクションを実行したかどうかをチェックするには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
クイック リファレンス
削除を調査するための主要な操作
| 操作 | 説明 | 使用例 |
|---|---|---|
| ApplyRetentionTag | アイテムに適用されるアイテム保持ポリシー | 自動ポリシー アクション |
| HardDelete | メールボックスから完全に削除されたアイテム | 完全削除、第 2 レベルの調査 |
| Move | フォルダー間で移動されたアイテム | フォルダーの変更を調査する |
| MoveToDeletedItems | [削除済みアイテム] に移動されたアイテムのユーザーアクション | ユーザーが開始した削除済みアイテムへの移動 |
| SoftDelete | 削除済みアイテム フォルダーに移動されたアイテム | ユーザーの削除、第 1 レベルの調査 |
| TaggedAsRecord | 保持対象としてマークされたアイテム | コンプライアンス関連のアクション |
削除を調査するための検索パラメーター
| パラメーター | 説明 | 例 |
|---|---|---|
| -Freetext | 特定のメール識別子を検索する | <email subject or unique identifier> |
| -操作 | 削除アクティビティの種類でフィルター処理する | SoftDelete、HardDelete、MoveToDeletedItems |
| -ResultSize | 返す結果の数 | 1,000 (標準)、5,000 (包括的) |
| -StartDate/-EndDate | 調査期間を定義する | メールが見つからない場合に基づく |
| -UserIds | アクションを実行したユーザーでフィルター処理する | <user1@domain.com,user2@domain.com> |
次の手順
- MailItemsAccessed を使用して侵害されたアカウントを調査する: 削除がより広範なアカウント侵害の一部であるかどうかを調査します。
- メールボックス ルールを変更したユーザーを特定する: メールボックス ルールがメッセージを自動削除または転送しているかどうかを確認します。
- 監査ログ レコードのエクスポート、構成、および表示: レポートまたは証拠の保存のために調査結果をエクスポートします。